Multi-License Discount Quote
מסד נתונים של איומים Advanced Persistent Threat (APT) Turla APT

Turla APT

עד Mezo ב-Advanced Persistent Threat (APT), Malware
לתרגם ל:
עברית

Turla, הידוע גם בשם Pensive Ursa, Uroburos ו-Snake, מייצג איום מתמשך מתקדם (APT) מתוחכם שמקורו ברוסיה, עם היסטוריה שראשיתה לפחות לשנת 2004 וקשרים לכאורה עם שירות הביטחון הפדרלי הרוסי (FSB). Turla, הידועה בפריצות הממוקדות שלה ובטקטיקות ההתגנבות החדישות שלה, זכתה למוניטין של יריב אדיר וחמקמק, תוך שהיא מציגה מיומנות טכנית יוצאת דופן בתזמור התקפות סייבר חשאיות וחמקניות.

במהלך השנים, טורלה הרחיבה את טווח ההגעה שלה על פני יותר מ-45 מדינות, וחדירה למגוון רחב של מגזרים כגון סוכנויות ממשלתיות, נציגויות דיפלומטיות, מוסדות צבאיים, כמו גם מוסדות חינוך, מחקר ותרופות. בנוסף, הקבוצה הייתה מעורבת בפעילויות הקשורות לסכסוך הרוסי-אוקראינה שפרץ בפברואר 2022, לפי דיווחים של ה-CERT של אוקראינה, המצביעים על פעולות ריגול המכוונות לאינטרסים הביטחוניים של אוקראינה.

למרות ש-Turla מיקדה בעיקר את מאמצי הריגול שלה במערכות מבוססות Windows, היא הוכיחה יכולות למקד לפלטפורמות macOS ולינוקס. באמצעות פיתוח בלתי פוסק, טורלה צברה ארסנל אדיר של כלים תוכנות זדוניות, כולל אך לא רק Capibar, Kazuar, Snake , Kopiluwak , QUIETCANARY/Tunnus, Crutch , ComRAT , Carbon ו- HyperStack ו- TinyTurla , שהופעלו באופן פעיל בקמפיינים מאיימים שונים. .

טורלה מתחילה למקד למערכות לינוקס

ב-2014, טורלה כבר פעלה בנוף הסייבר במשך כמה שנים, אך שיטת ההדבקה שלה נותרה בגדר תעלומה. מחקר שנערך באותה שנה שופך אור על מתקפה רב-שלבית מתוחכמת שזכתה לכינוי Epic Turla, וחשפה את השימוש של Turla במשפחת תוכנות זדוניות Epic. מסע פרסום זה ניצל את נקודות התורפה CVE-2013-5065 ו-CVE-2013-3346, תוך מינוף דוא"ל דיוג חנית החמוש ב-Adobe PDF לצד טכניקות חור-השקיה המשתמשות ב-Java exploits (CVE-2012-1723).

היבט בולט של מסע פרסום זה היה הפריסה של Turla של דלתות אחוריות מתקדמות כגון Carbon/Cobra, תוך שימוש מדי פעם בשתיהן כמנגנון כשל.

פעולות קודמות של Turla כוונו בעיקר למערכות Windows, אבל באוגוסט 2014, הנוף השתנה כשטורלה נכנסה לטריטוריית לינוקס בפעם הראשונה. יוזמה זו, הידועה בשם Penguin Turla, ראתה את הקבוצה משתמשת במודול Linux Turla הכולל קובץ הפעלה C/C++ המקושר סטטית מול מספר ספריות, והגדיל באופן משמעותי את גודל הקובץ שלה עבור פעולה מסוימת זו.

Turla מציגה איומים חדשים על תוכנות זדוניות בפעולות ההתקפה שלה

בשנת 2016, קבוצה הידועה בשם Waterbug, כביכול ישות בחסות המדינה, השתמשה בגרסאות של Trojan.Turla ו- Trojan.Wipbot כדי לנצל פגיעות של יום אפס, תוך התמקדות ספציפית בפגיעות ההסלמה המקומית של Windows Kernel NDProxy.sys (CVE-2013 -5065). על פי ממצאי המחקר, התוקפים השתמשו באימיילים מעוצבים בקפידה המכילים קבצים מצורפים לא בטוחים לצד רשת של אתרים שנפגעו כדי לספק את המטענים המרושעים שלהם.

בשנה שלאחר מכן, חוקרים חשפו איטרציה מתקדמת של תוכנת זדונית Turla - דלת אחורית בשלב שני שזוהתה כ-Carbon. התחלת מתקפת פחמן כרוכה בדרך כלל בקבלת הקורבן בדוא"ל דיוג בחנית או בהיתקלות באתר אינטרנט שנפגע, המכונה בפי העם בור השקיה.

לאחר מכן, מותקנת דלת אחורית בשלב ראשון כמו Tavdig או Skipper . עם השלמת פעילויות הסיור, מסגרת Carbon מתזמנת את התקנת הדלת האחורית השלב השני שלה במערכות קריטיות. מסגרת זו כוללת מטפטפת האחראית להתקנת קובץ התצורה שלה, רכיב תקשורת לאינטראקציה עם שרת ה-Command and Control (C&C), מתזמר לניהול משימות ותנועה לרוחב בתוך הרשת, ומטען להפעלת המתזמר.

הדלת האחורית של קזואר של טורלה נכנסת לזירה

במאי 2017, חוקרי אבטחת סייבר קשרו טרויאני חדש שהתגלה בדלת אחורית, Kazuar, לקבוצת Turla. פותח באמצעות Microsoft .NET Framework, Kazuar מתגאה במערכות פקודות פונקציונליות ביותר המסוגלות לטעון מרחוק יישומי פלאגין נוספים.

Kazuar פועלת על ידי איסוף מידע על שם קובץ מערכת ותוכנות זדוניות, הקמת mutex כדי להבטיח ביצוע יחיד והוספת קובץ LNK לתיקיית האתחול של Windows.

מערכי הפקודות בתוך Kazuar מפגינים דמיון לאלו שנמצאו בטרויאנים אחרים בדלת אחורית. לדוגמה, פקודת רשימת המשימות משתמשת בשאילתת Windows Management Instrumentation (WMI) כדי לאחזר תהליכים פועלים מ-Windows, בעוד שפקודת info אוספת נתונים על חלונות פתוחים. יתרה מכך, פקודת cmd של Kazuar מבצעת פקודות באמצעות cmd.exe עבור מערכות Windows ו-/bin/bash עבור מערכות Unix, מה שמצביע על עיצובה כתוכנה זדונית חוצת פלטפורמות המכוונת הן לסביבות Windows והן לסביבות Unix.

מחקר נוסף בתחילת 2021 חשף הקבלות בולטות בין הדלת האחורית של Sunburst ו-Kazuar.

עוד קמפיינים להתקפה של Turla התרחשו ב-2017

טורלה הציגה דלת אחורית חדשה בשלב שני בשם Gazer, מקודדת ב-C++, הממנפת התקפות של חורי מים וקמפיינים של דיוג חנית כדי למקד את הקורבנות במדויק.

בנוסף ליכולות ההתגנבות המשופרות שלה, גאזר הפגינה דמיון רב לדלתות אחוריות של שלב שני שהופעלו בעבר כמו קרבון וקזואר. מאפיין בולט של מסע פרסום זה היה השילוב של משפטים 'קשורים למשחקי וידאו' בתוך הקוד. Turla אבטחה את שרת הפיקוד והבקרה (C&C) של Gazer על ידי הצפנתו באמצעות הספרייה הקניינית שלה להצפנת 3DES ו-RSA.

Turla משלבת איומים ותשתיות מקבוצות אחרות של פשעי סייבר

בשנת 2018, דו"ח מודיעיני הצביע על כך שטורלה השתמשה בכלים מזיקים שפותחו לאחרונה, Neuron ו- Nautilus , לצד ה- Snake Rootkit , כדי למקד למכונות Windows, עם התמקדות מיוחדת בשרתי דואר ושרתי אינטרנט. טורלה השתמשה בקורבנות Snake שנפגעו כדי לסרוק אחר קונכיות ASPX, ולשדר פקודות באמצעות ערכי קובצי Cookie מוצפנים של HTTP. Turla מינפה מעטפות ASPX כדי ליצור גישה ראשונית למערכות יעד לפריסה של כלים נוספים.

שוב בשנת 2018, טורלה שמה לעצמה את הכוונת למשרדי החוץ של ממשלות אירופה, במטרה לחדור למידע רגיש ביותר דרך דלת אחורית. מסע פרסום זה מכוון ל-Microsoft Outlook ול-The Bat!, לקוח דואר בשימוש נרחב במזרח אירופה, והפנה מחדש את כל המיילים היוצאים לתוקפים. הדלת האחורית השתמשה בהודעות דואר אלקטרוני כדי לחלץ נתונים, תוך שימוש במסמכי PDF בעלי מבנה מיוחד ושימוש בהודעות דוא"ל כצינור עבור שרת הפיקוד והבקרה (C&C) שלה.

בשנת 2019, מפעילי Turla ניצלו את התשתית של OilRig, קבוצת APT הקשורה לאיראן הידועה כמי שמכוונת לגופים ממשלתיים וארגונים במזרח התיכון, כדי לבצע פעולות תקיפה משלהם. מסע פרסום זה כלל פריסה של גרסה מותאמת אישית של הכלי Mimikatz , ששונה מאוד, לצד מערך חדש של כלים הכוללים מספר דלתות אחוריות טריות. בשלבים המאוחרים יותר של הקמפיין, קבוצת Turla השתמשה בדלת אחורית (RPC) מובהקת של Remote Procedure Call, ששילבה קוד מכלי PowerShell Runner הנגיש לציבור כדי להפעיל סקריפטים של PowerShell מבלי להסתמך על powershell.exe.

איומים חדשים על דלת אחורית פורסמו במהלך 2020

במרץ 2020, אנליסטים בתחום האבטחה הבחינו בטורלה מפעילה התקפות בורות מים כדי למקד אתרים ארמניים רבים. לאתרים אלה הוכנס קוד JavaScript פגום, אם כי שיטות הגישה המדויקות שננקטו בהתקפות נותרו בלתי נחשפות.

לאחר מכן, דפי האינטרנט שנפגעו הפיצו קוד JavaScript שנפגע בשלב השני כדי לזהות דפדפנים קורבנות ולשדל אותם להתקין מתקין פלאש גרוע. לאחר מכן, Turla מינפה את NetFlash , תוכנת הורדת .NET, ואת PyFlash לפריסת תוכנות זדוניות משניות.

כמה חודשים לאחר מכן, Turla העסיקה את ComRAT v4 , המכונה Agent.BTZ, כטרויאן לגישה מרחוק (RAT). תוכנה זדונית זו, שנוצרה באמצעות C++, כוללת מערכת קבצים וירטואלית FAT16 המשמשת לעתים קרובות להוצאת מסמכים רגישים. הוא מופץ דרך נתיבי גישה מבוססים כמו PowerStallion PowerShell הדלת האחורית תוך שימוש ב-HTTP ובאימייל כערוצי פיקוד ובקרה (C&C).

לקראת סוף 2020, מומחי אבטחת סייבר נתקלו בדלת אחורית לא מתועדת ומחלץ מסמכים בשם Crutch , המיוחס לקבוצת Turla. גרסאות קודמות של Crutch כללו דלת אחורית המתקשרת עם חשבון Dropbox שנקבע מראש באמצעות ה-API הרשמי של HTTP.

לדלת האחורית הזה היו יכולות לבצע פקודות הקשורות למניפולציה של קבצים, ביצוע תהליכים וביסוס התמדה באמצעות חטיפת DLL ב-Google Chrome, Mozilla Firefox או Microsoft OneDrive. יש לציין, Crutch v4 מתגאה בתכונה אוטומטית להעלאת קבצי כונן מקומיים ונשלפים לאחסון Dropbox, בהקלה על ידי גרסת Windows של כלי השירות Wget, בניגוד לאיטרציות קודמות הנשענות על פקודות בדלת אחורית.

קבוצת Turla APT משחררת את התוכנה הזדונית של TinyTurla ומתחילה למקד לנכסים באוקראינה

הופעתה של הדלת האחורית של TinyTurla הגיעה לתשומת לב בשנת 2021. איום זה משמש ככל הנראה כתוכנית מגירה, המאפשרת גישה מתמשכת למערכות גם במקרה של הסרת תוכנות זדוניות ראשוניות. ההתקנה של דלת אחורית זו מתבצעת באמצעות קובץ אצווה ומתבטאת כ-DLL שירות בשם w64time.dll, במטרה לחקות את הקובץ הלגיטימי w32time.dll בפלטפורמות Windows.

בתוך הפלישה הרוסית לאוקראינה, ה-Turla APT הפנה את מיקודו לעבר יעדים המתואמים עם האינטרסים של רוסיה בסכסוך. הודעה מ-Computer Emergency Response Team של אוקראינה (CERT-UA) ביולי 2023 חשפה את השימוש של Turla בתוכנות הזדוניות של Capibar ובדלת האחורית של Kazuar לפעילויות ריגול המכוונות לנכסי הגנה אוקראינים. במבצע זה הועסק קפיבר לאיסוף מודיעין בזמן שקזואר התמחה בגניבת אישורים. המתקפה כוונה בעיקר לישויות דיפלומטיות וצבאיות באמצעות מסעות פישינג.

הופעתה של TinyTurla-NG ו-Pelmeni Wrapper

לקראת סוף 2023, נצפה שחקן האיום של טורלה כשהוא משתמש בדלת אחורית חדשה בשם TinyTurla-NG בקמפיין שנמשך שלושה חודשים. מבצע התקיפה כוון במיוחד לארגונים לא ממשלתיים בפולין. בדומה לקודמו, TinyTurla-NG מתפקד כדלת אחורית קומפקטית 'המוצא האחרון'. הוא נפרס אסטרטגית כדי להישאר רדום עד שכל שאר מנגנוני הגישה הבלתי מורשית או הדלת האחורית במערכות שנפגעו נכשלו או יתגלו.

בפברואר 2024, אנליסטים של אבטחת סייבר חשפו מסע פרסום חדש של Turla המציג אסטרטגיות חדשניות וגרסה שונה של הקזואר הטרויאני. במבצע התקיפה המסוים הזה, איום קזואר הופץ לקורבנות הממוקדים באמצעות עטיפה שלא תועדה בעבר בשם פלמני .

ה-Turla APT נשאר איום סייבר עיקרי למרות שנים של פעולות תקיפה מפורטות

קבוצת טורלה עומדת כיריב מתמיד ומתמשך, המתגאה ברקורד ארוך של פעילויות. מקורותיהם, הטקטיקה ובחירת המטרות שלהם מצביעים על מבצע בעל משאבים טובים בהובלת פעילים מיומנים. במהלך השנים, Turla שיפרה בעקביות את הכלים והמתודולוגיות שלה, מה שמצביע על מחויבות לחידוד מתמשך.

האיום שמציבים קבוצות כמו טורלה מדגיש את ההכרח לארגונים ולממשלות לשמור על ערנות. הדבר כרוך בהתעדכנות בהתפתחויות, החלפת מודיעין ויישום אמצעי אבטחה חזקים. צעדים יזומים כאלה מאפשרים הן לקבוצות והן ליחידים לחזק את ההגנה שלהם מפני האיומים שמציבים שחקנים כאלה.

מגמות

הכי נצפה

הונאת דוא"ל 'Gek Squad'

Phishing, Spam
36,927
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...